2021-2080: Cisco Identity Services Engine (ISE): Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes mit Administratorrechten
Historie:
- Version 1 (2021-10-07 12:01)
- Neues Advisory
- Version 2 (2021-10-13 10:45)
- Cisco gibt an, dass die Schwachstelle CVE-2021-1594 im Versionszweig 2.6 von Cisco Identity Services Engine mit Version 2.6 Patch11 statt wie bisher angegeben 2.6 Patch10 behoben wird.
Betroffene Software
Netzwerk
Sicherheit
Betroffene Plattformen
Hardware
Cisco
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, beliebigen Programmcode mit den Rechten des Administrators auszuführen und einen Server-Site-Request-Forgery (SSRF)-Angriff durchzuführen.
Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Die Schwachstelle CVE-2021-1594 erfordert die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung der Schwachstelle CVE-2021-34706 kann Einfluss auf andere Komponenten haben.
Cisco informiert über die Schwachstellen in Cisco Cisco Identity Services Engine (ISE) 2.2, 2.4, 2.6, 2.7, 3.0, 3.1 sowie früheren Versionen und stellt zu deren Behebung die Versionen 2.6 Patch 10 bzw. 2.6 Patch 11 als zukünftige Version, 2.7 Patch 5 und 3.0 Patch 4 als Sicherheitsupdate zur Verfügung. Weitere Patch-Versionen für die anderen Versionszweige werden in Aussicht gestellt. Zur Behebung der Schwachstelle CVE-2021-34706, welche alle Versionen von 2.4 bis einschließlich 3.1 betrifft, kann ein Hot Patch über den TAC Support angefragt werden.
Schwachstellen:
CVE-2021-1594
Schwachstelle in Cisco Identity Services Engine ermöglicht Ausführen beliebigen Programmcodes mit AdministratorrechtenCVE-2021-34702
Schwachstelle in Cisco Identity Services Engine ermöglicht Ausspähen von InformationenCVE-2021-34706
Schwachstelle in Cisco Identity Services Engine ermöglicht Server-Site-Request-Forgery-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.